|
<< Click to Display Table of Contents >> Администрирование (Linux) > Общесистемные настройки > Настройка аутентификации OpenID Connect 1.0 |
|
|
<< Click to Display Table of Contents >> Администрирование (Linux) > Общесистемные настройки > Настройка аутентификации OpenID Connect 1.0 |
|
Настройка на стороне внешнего провайдера
Для аутентификации по протоколу OpenID Connect 1.0 сначала нужно выполнить настройки на стороне внешнего провайдера. В документации приведен пример настройки ADFS 2016 и выше.
На стороне провайдера задаются параметры, значения которых в дальнейшем необходимо указать в конфигурационном файле Directum RX.
ВАЖНО. При настройке учитывайте, что в адресе веб-клиента Directum RX должен использоваться протокол HTTPS. Кроме этого, для параметров OpenID Connect 1.0 учитывается регистр символов. Поэтому значения этих параметров в системе Directum RX и на стороне провайдера рекомендуется задавать в нижнем регистре.
Настройка системы Directum RX
В конфигураторе Directum Launcher в секции Общие настройки (common_config) добавьте параметры:
•EXTERNAL_AUTHENTICATION_TYPE – тип аутентификации. Укажите значение OpenIdConnect;
•AUTHENTICATION_WIN_ACCOUNT_CLAIM_TYPE – тип утверждения, в котором передается имя учетной записи. Укажите значение preferred_username;
•AUTHENTICATION_SID_CLAIM_TYPE – тип утверждения, в котором передается SID (идентификатор) пользователя. Необязательный параметр;
•OIDC_AUTHORITY – адрес провайдера идентификации. Поддерживается только протокол HTTPS. Параметр не учитывается, если указан адрес точки входа для получения метаданных OIDC_METADATA_ADDRESS;
•OIDC_CLIENT_ID – идентификатор веб-клиента Directum RX. Задается при регистрации в провайдере аутентификации. Введите значение, которое указывали в поле Идентификатор клиента в консоли управления ADFS;
•OIDC_CLIENT_SECRET – значение клиентского секрета из приложения поставщика. Используется для настройки безопасности. Введите значение секрета, которое сгенерировалось при установке флажка Создать общий секрет в консоли управления ADFS. Необязательный параметр;
•OIDC_USE_BASIC_AUTH_FOR_CLIENT_SECRET – метод передачи клиентского секрета. Обычно задается при настройке на стороне провайдера аутентификации. Возможные значения:
Флажок снят (false) – используется механизм базовой аутентификации (Basic), секрет передается в теле HTTP-запроса. Значение по умолчанию;
Флажок установлен (true) – секрет передается в заголовке Authorization.
•OIDC_CALLBACK_PATH – часть пути до веб-клиента Directum RX, на который будет перенаправлен пользователь после попытки аутентификации. Введите значение, которое указывали в поле Перенаправить URI в консоли управления ADFS;
•OIDC_SCOPE – список областей, разделенных пробелами. Передается в запросе авторизации провайдеру аутентификации. Влияет на состав утверждений, возвращаемых в идентификационном маркере. По умолчанию используется значение openid profile;
•OIDC_METADATA_ADDRESS – адрес точки входа для получения метаданных. Необязательный параметр, если задано значение параметра OIDC_AUTHORITY. По стандарту заканчивается строкой /.well-known/openid-configuration. Поддерживается только протокол HTTPS.
Пример настройки в config.yml:
EXTERNAL_AUTHENTICATION_TYPE: 'OpenIdConnect'
AUTHENTICATION_WIN_ACCOUNT_CLAIM_TYPE: 'preferred_username'
OIDC_AUTHORITY: 'https://adfs.server.com'
OIDC_CLIENT_ID: 'c1'
OIDC_CLIENT_SECRET: 'quuAL6dcvo1KKyr5pgwhqTnsRKaY9OH88h1iNnoJ'
OIDC_USE_BASIC_AUTH_FOR_CLIENT_SECRET: 'false'
OIDC_CALLBACK_PATH: '/b1'
| © Компания Directum, 2024 |